PT-2021-15239 · Github · Github Enterprise Server
Vaibhav Singh
·
Publicado
2021-05-14
·
Atualizado
2021-05-25
·
CVE-2021-22866
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 2.22.x do GitHub Enterprise Server anteriores à 2.22.13
Versões 3.0.x do GitHub Enterprise Server anteriores à 3.0.7
Descrição
Foi identificada uma falha de representação incorreta na interface do usuário que permitia a concessão de mais permissões durante o fluxo de autorização do usuário do aplicativo GitHub do que as exibidas ao usuário. Para explorar essa falha, um invasor precisaria criar um aplicativo GitHub e fazer com que um usuário o autorizasse. Durante a autorização inicial, todas as permissões são exibidas corretamente, mas se o usuário revisitar o fluxo de autorização após o aplicativo do GitHub configurar permissões adicionais no nível do usuário, essas permissões extras podem não ser exibidas, levando à concessão de mais permissões do que o pretendido.
Recomendações
Para as versões 2.22.x do GitHub Enterprise Server anteriores à 2.22.13, atualize para a versão 2.22.13 para resolver o problema.
Para versões 3.0.x do GitHub Enterprise Server anteriores à 3.0.7, atualize para a versão 3.0.7 para resolver o problema.
Correção
Clickjacking
UI Misrepresentation of Critical Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Github Enterprise Server